Ankündigung

Einklappen
Keine Ankündigung bisher.

security shocks part II: shellshock

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • security shocks part II: shellshock

    http://www.heise.de/security/meldung...e-2403305.html
    bei debian zumindest ist die sh ein link auf dash, was einem da nicht viel hilft.

    was für ne loginshell benützt ihr?


  • #2
    Diese Dinge sind alle eigentlich nur bedingt schlimm, ganz je nachdem welche Angriffsvektoren man zur Verfügung hat.

    Allerdings ist auf dem typischen Server kein derartiger Angriffsvektor von außen (!) präsent. Da war Heartbleed schon viel schlimmer…

    Kommentar


    • #3
      stimmt schon, wobei es einen haufen dienste gibt, die ne shell kriegen können(haben).
      ich find das auch keinen weltuntergang, hab aber gedacht man könte mal nen thread aufmachen, der sich mit so zeugs beschäftigt( weiss ja nicht welceh mitforisten welche new lesen).

      Kommentar


      • #4
        Eine Shell haben viele Dienste intern (C system() syscall), aber die wenigsten Dienste offerieren dem Nutzer eine nutzbare Shell.

        Von daher mMn eh halb so wild als es dargestellt wird…

        Kommentar


        • #5
          Heise hat auch schonmal bessere Artikel geschreiben. Bash-Script als CGI und Sicherheitsmechanismen von OpenSSH betroffen?! Beim ersten '"Hab ich das richtig Verstanden? Bash-Script als CGI?! Jaja...", beim zweiten "Hä? Entweder hat er der User eine Shell oder nicht. Sehr detailreich...". Wenigstens bringt der Link auf Redhat klarheit.

          Kommentar


          • #6
            sorry nächstes verlink ich halt cve(nist).
            das der link (https://securityblog.redhat.com/2014...ection-attack/), welchen du meintest erc ?

            ob es noch viele dienste gibt, welche ne loginbash haben, fraglich.
            die meisten haben arg restricted shells, vmware auf mac wohl nicht, der dhcpclient auf iphones wohl nicht; ja es gibt durchaus möglichkeiten zum spass haben, boewi.

            nist ordnet sie auch entsprechend ein:
            http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-6271
            da die patches nicht so recht greifen, gleich das nächste problem:
            http://web.nvd.nist.gov/view/vuln/de...=CVE-2014-7169

            Kommentar


            • #7
              mal gepushed, weils jetzt ja auch nen wikipedia artikel zu gibt.
              am samstag hat ubuntu den letzten patch eingespielt..
              dass sich da niemand von betroffen fühlt, weder mitr dem server noch mit dem smartphone ist mir ein rätsel.

              http://en.wikipedia.org/wiki/Shellsh...oftware_bug%29

              Kommentar


              • #8
                ich hab schon gemerkt, shellshock interessiert hier niemanden.
                http://blog.trendmicro.com/trendlabs...-smtp-servers/

                Kommentar

                Lädt...
                X